英特尔再爆重大芯片漏洞,苹果谷歌微软相继中招

近两年间,想必作为全球知名的半导体公司 Intel 的研发团队承受着巨大的压力,先是经历了被诸多媒体称之为“史诗级行业芯片漏洞事件”之 Meltdown (熔断)与 Spectre(幽灵)的劫难;后又在 5G 调制解调器的研发上摔了跟头;如今又有最新的消息爆出,安全研究人员在英特尔芯片中再次发现一种严重的漏洞——微架构数据采样(MicroARchitectural Data Sampling,简称 MDS),对此,不少人也将该漏洞叫做“ZombieLoad”(僵尸负载)。

01、再现“Meltdown 与 Spectre 身影”的ZombieLoad

之所以ZombieLoad 会引起安全研究人员的高度关注,是因为其与曾经影响了所有 iPhone、Android、PC 设备的Meltdown 与 Spectre 有着诸多的相似之处。

我们都知道彼时不少芯片厂商为了提高 CPU 性能,从而在芯片上引入了两种特性,一种叫乱序执行(Out-of-Order Execution),另一种为推测性执行(Speculative Execution),如今这两种特性是现代处理器工作方式的重要组成部分:

  • 乱序执行:是一种应用在高性能微处理器中来利用指令周期以避免特定类型的延迟消耗的范式。在这种方式下,可以避免因为获取下一条程序指令所引起的处理器等待,取而代之的处理下一条可以立即执行的指令;
  • 推测执行:采用这个技术的计算机系统会根据现有信息,利用空转时间提前执行一些将来可能用得上,也可能用不上的指令。如果指令执行完成后发现用不上,系统会抛弃计算结果,并回退执行期间造成的副作用(如缓存)。

其中,对于采用推测执行,最大的好处就是可以让应用程序或系统运行得更快、更高效。但让大家不容忽视的是,这也就造成了黑客可以利用Meltdown 或 Spectre漏洞,在应用软件未经任何授权下便可读取到英特尔处理器内核的信息,进而攻击者可获取到用户设备上的一些敏感数据,如密码、登录密钥、私人消息、邮件甚至是商业秘密文件。

如今,最新被研究人员发现的ZombieLoad 漏洞,针对的也是英特尔芯片在引用两种特性作设计的缺陷,即可以使用推测性执行来诱骗英特尔的处理器抓取从芯片的一个组件转移到另一个组件的敏感数据,不过这与使用推测性执行来获取内存中的敏感数据的 Meltdown 不同,MDS 攻击专注位于芯片组件之间的缓冲区。

据英特尔官方介绍,虽然 MDS 攻击也是通过侧信道攻击的方式,但它的实现是由四种截然不同的漏洞共同组成。

事实上,这四种不同的 MDS 攻击都利用了英特尔芯片如何执行省时技巧的捷径。在上文推测执行的解释中,我们看到 CPU 在程序执行请求之前或猜测程序正在请求数据的过程中,经常跟随代码中的命令分支,以便获得先机。如果指令执行完成后发现用不上,那么系统会抛弃计算结果。(在不同条件下,芯片可以从三个不同的缓冲区中获取数据,因此研究人员可以进行多次攻击。)

此前,英特尔的芯片设计人员可能认为错误的猜测,即使提供敏感数据的猜测也无关紧要。于是,他们将这些结果抛弃了。

但其实这个漏洞,如同Meltdown 和 Spectre 一样,攻击者可以通过处理器的缓存泄漏处理器从缓冲区获取的数据。整个过程,最多从一个 CPU 的缓冲区窃取几个字节的任意数据。但是倘若连续重复数百万次,攻击者可以开始窃取 CPU 正在实时访问的所有数据流。

与此同时,通过一些其他技巧,低权限攻击者可以发出请求,说服 CPU 将敏感数据(如密钥和密码)拉入其缓冲区,然后由 MDS 攻击将其吸出。这些攻击可能需要几毫秒到几小时,具体取决于目标数据和 CPU 的活动。

02、2011 年以后拥有英特尔芯片的设备危险!

据 Wired 报道,这一次的漏洞是由英特尔联合如奥地利大学、阿姆斯特丹大学、密歇根大学等欧洲多家大学,以及 Cyberus、360、Oracle 等安全软件公司的研究人员共同公布的。此前英特尔要求所有的研究人员对其研究成果保密,其实有些研究已经超过了一年,如今当它可以发布针对漏洞的修复程序时,这一事件才被爆出来。

当前,英特尔也正在试图淡化这一漏洞带来的影响,不过有研究人员警告道,这些漏洞代表了英特尔硬件的严重缺陷,可能需要禁用其部分功能,甚至某些公司的补丁也无济于事。

如今论其影响的范围,可追溯到 2011 年以后拥有英特尔芯片的所有计算机设备。不过,据悉,此次影响也仅局限于英特尔芯片,而 AMD 和 ARM 芯片不像早期的侧信道攻击那样易受攻击。

英特尔对此也表示,过去一个月最新发布的某些芯片型号已经包含了解决问题的方法。与此同时,微码的补丁将有助于清除处理器的缓冲区,防止数据被读取。

03、最新的漏洞对普通的用户意味着什么?

那么,这个漏洞对普通用户究竟意味着什么?

其实,对于个人用户而言,大家也不必太过惊慌。对此,安全研究人员格鲁斯解释道,“ZombieLoad 漏洞的出现并不意味着黑客或攻击者可以即刻接管用户的计算机,且进行驱动攻击,这个与去年的Meltdown(熔断)与 Spectre(幽灵)两大漏洞相比而言,要比 “Spectre(幽灵)更容易触发”,但是“比Meltdown(熔断)更难触发”。”

其实,想要通过该漏洞进行攻击,黑客需要具备足够的技能储备。

“但是,如果该漏洞利用代码在应用程序中编译或作为恶意软件提供,那么黑客也可以以此进行攻击,”格鲁斯补充道。

“其实,另也有很多方法可以入侵计算机并窃取数据。不过,当前对预测性执行和侧信道攻击的研究重点仍处于起步阶段。未来随着越来越多的调查结果曝光,数据窃取攻击有可能变得更容易利用和更简化。”

对于用户而言,想要避免或降低被攻击的风险,最好的做好就是,一旦有任何可用的补丁,记得及时安装。

04、我们是否可以继续信任英特尔的芯片?

当前,英特尔已发布微码以修补易受攻击的处理器,其中包括了 Intel Xeon、Intel Broadwell、Sandy Bridge、Skylake 和 Haswell 芯片。英特尔 Kaby Lake、Coffee Lake、Whiskey Lake 和 Cascade Lake 芯片也受到影响,以及所有 Atom 和 Knights 处理器。

基于此,英特尔也正面回应道:”关于微架构数据采样(MDS)安全问题,我们近期的很多产品已经在硬件层面得以解决了,包括很多第 8 代和第 9 代英特尔酷睿处理器、以及第 2 代英特尔至强可扩展处理器系列。

对其它受影响的产品,用户可以通过微代码更新、并结合今天发布的相应操作系统和虚拟机管理程序的更新获取安全防御。

我们在官方网站上也提供了更多信息,并一如既往的鼓励大家保持系统的及时更新,因为这是保持安全的最佳途径之一。我们在此要感谢那些与我们通力协作的研究人员、以及为此次协同披露做出贡献的行业合作伙伴们。”

除此之外,如苹果、微软、Google 等科技巨头们,也相继发布了补丁,希望将此作为抵御可能受到攻击的第一道防线。

据外媒 TechCrunch 报道,英特尔表示,与以前的补丁一样,微代码更新会对处理器性能产生影响。大多数修补后的消费者设备在最坏的情况下可能会受到 3% 的性能损失,在数据中心环境中则高达 9%。但是,其发言人表示,在大多数情况下,它不太可能引人注意。

05、漏洞并不可怕,只因技术本无罪

事实上,在硬件的设计与性能不断地优化与迭代下,安全防御功能肯定会由此逐步提升,但这并不意味着所有的设备就会足够的安全,而这也正如《我是谁:没有绝对安全的系统》中的经典语句所言,“人类才是系统中最大的漏洞。”

因此,对于身处数字信息化大爆炸时代的从业者,需铭记的是:技术本无罪,不要让其为人性的罪恶去买单。

文章内容仅供参考,不构成投资建议,投资者据此操作风险自负。转载请注明出处:天府财经网

(0)
上一篇 2019-07-02
下一篇 2019-07-03

相关推荐

  • 亏损超30亿的优必选,还是能加冕“机器人第一股”、让人期待

    AI迎来新的革命浪潮,人工智能纷纷崛起,但谁才是股市“机器人第一股”?这个问题悬而未决之后,终于在股民们的翘首以待中等来答案揭晓。 去年12月29日,深圳优必选科技正式登陆港股,成为国内“人形机器人第一股”。上市即获得一波涨潮,当初投资的机构和股民坐享1000倍回报的同时,首日开盘股价冲向91元,对应市值约380亿港元。历经10年,当年估值3600万元飙升至如今的近400亿,股市大热,难免让人不由得对标同行业绩,市场狂热的背后,“人形机器人第一股”是否值得看好?它的崛起,是否意味着A股迎来新的格局,从此步入工业母机高速发展赛道? 上市并非“一本万利”,多年亏损仍在“探路” 早在12年前,人们对机器人的概念还不够清晰之时,优必选就把主要业务对准了人工智能和人形机器人研发、平台软件开发运用及产品销售,说它是一家全球性的高科技创新企业,也是实至名归。然而,专注于人工智能及机器人核心技术的应用型研发、前瞻性研发和商业化落地,无论是高性能的伺服驱动器、计算机视觉,还是机器人操作系统应用框架ROSA,要实现商用服务机器人和个人\家庭服务机器人的系列产品成功问世,需要一个漫长的过程,背后必须是以持续的投入和试验为依托,说白了,这是一个无休止的“烧钱”过程,没有强大的资金支持、连续的融资,可能熬不到产品成功面市,公司就已经岌岌可危了。值得庆幸的是,当初投资优必选的机构都耐心十足、眼光独到,看准了人工智能必将兴起的一天,机器人大量上市更是大势所趋,即便公司成立的前10年,一直处于连年亏损中,但深受投资机构青睐,不少明星企业、资本大鳄,都是背后坚定的支持者。 截止2023年6月30日,也就是去年上半年为止,优必选在工业制造、商用服务和家庭陪伴的三个应用场景中,共计售出76万台机器人,人形机器人销售也超过10台,但至今并未实现盈利。2020年-2022年的3年间,公司营收分别为7.4亿元、8.1…

    2024-03-05
    418
  • 共创汽车智能生态营销新场域,建发汽车&红星美凯龙首发π空间

    2024年1月5日,建发汽车携手红星美凯龙共创的汽车智能生态综合体π空间项目于成都正式发布。当地政府领导、汽车及家居行业协会、主流新能源汽车品牌方、跨业态合作伙伴及主流媒体莅临现场,共同见证这一汽车场域营销新物种的诞生。 全国工商联商业地产工作委员会王永平会长莅临现场,中国汽车工业协会杨中平副秘书长发表致辞。杨副秘书长表示:“π空间项目是新能源汽车营销领域的创新,也是汽车生态建设中的一次尝试,相信能够得到广大车企、用户、商家的欢迎,助力我国新能源汽车的发展。” π空间是百强汽车经销商建发汽车(集团)与中国领先家居连锁平台红星美凯龙突破传统商业边界,合力打造的“家居-出行生活方式展示点”;是将品质智能家居生活体验、潮玩艺术空间与全场域汽车营销场景结合的智能汽车生态综合体;是一个“商业生态新物种”,也是一个“场域营销新闭环”。 对于π空间的打造与未来,建发汽车和红星美凯龙双方均表示非常期待而且充满信心。 建发汽车(集团)总经理黄卫平在致辞中表示,π空间是建发汽车携手红星美凯龙在打造汽车智能生态场域新闭环的最新探索。建发汽车将充分发挥二十多年来在汽车经销服务领域的2C优势,结合集团资源,继续拓展国内汽车流通领域尤其是新能源汽车流通领域业务。 “双方合力打造π空间,可以说是真正的强强联合,优势互补。一方面将激活红星美凯龙的商业空间存量;另一方面,建发汽车的专业运营,也将给这个汽车智能生态综合体带来成熟的运营和无限的想象。” 红星美凯龙家居集团执行总裁兼大营运中心总经理朱家桂表示。 π空间突破传统的商业的边界,将品质智能家居生活体验与全场域汽车营销场景跨界融合,搭建智能汽车营销新载体。打破固有商管模式,在品质家居商城中构建店中店,打造“一站置家“的全新场景。聚焦对品质生活有需求的用户,关注其置换改善的人生重要时刻,构建更加丰富的场景联想,充分激发购车热情。在用户心智中成为“目的地型”…

    2024-01-06 科技
    1.2K
  • 李斌“不低头”,蔚来汽车一场不合时宜的高端梦

    进入12月,在比亚迪、小鹏、理想等在内的15家车企纷纷官宣降价之际,能源汽车的气氛拉到了冰点。 沉默,沉默是此时的蔚来用户。所有人都在疑惑,在2023年的最后一程,蔚来汽车为何要作出这么“不合时宜”的“一鸣惊人”。 没错,不合时宜。无论是在降价潮中突破心理防线的定价,还是“蔚来”这个品牌在80万元价格档位上微弱的存在感,都让这款80万元的蔚来ET9显得不合时宜。 或许,刚刚拿下中东土豪投资的蔚来汽车冲击高端市场只是时间问题,但在钱还没有捂热的情况下就一举推出不被理解的ET9,不由得让人疑惑: 蔚来汽车到底在急什么? 拿下中东土豪 中国融资规模仅次于高合汽车母公司华人通运从沙特投资部拿到的56亿美元投资。 在一众造车新势力中,蔚来汽车属于“会搞钱”的佼佼者。自2015年成立以来,累计融资规模已经超过1150亿元,而小鹏汽车这俩老对手自成立以来的融资累计额则大约为120亿元、160亿元。但也因为如此庞大的融资规模,蔚来汽车创始人李斌也将失去第一大股东人的地位。 用绝对的控股权换取融资,蔚来汽车真的这么缺钱吗?从财务数据来看,蔚来汽车2020年-2022年的亏损分别为53亿元、40.2亿元、144.37亿元,到了2023年前三季度,亏损规模更是进一步扩大到154亿元,已经超过上年全年,更是接近2021年的4倍。 按照前三季度399549辆的交付量,蔚来汽车每卖一辆车就要亏损4万元。在市场争夺战依然如火如荼的当下,如此卖货带来的资金压力可见一斑。 除了卖车啥都干 蔚来汽车缺钱,比其他造车新势力都缺钱。而造成这种情况的原因很大程度上在于蔚来汽车“除了卖车啥都干”。在卖车之外,蔚来汽车有四块举足轻重的业务,换电站、手机以及客户服务。 其中,换电站被蔚来汽车内部定义为“蔚来护城河”。当然,这条护城河的造价是昂贵的。据了解,蔚来汽车三代换电站的成本分别为300万元、150-200万元以及1…

    2023-12-27
    1.2K
  • 冲刺IPO的货拉拉为何连续被约谈?

    商业利益向左,司机权益向右,平台如何做好“端水大师”?

    2023-12-27 TMT
    4.7K
  • 光伏下游又要面临“不可承受之轻”?产能过剩周期中全行业进入微利时代

    据国家光伏新增装机量21.32GW,环比提升56.5%,今年前十一月新增装机累计达163.88GW,全年装机量有望达到180GW。更乐观的预测则认为,随着第一批大基地在1231之前并网,今年新增装机有望达到200GW,这几乎是2021年装机量(53GW)接近四倍。 今年以来,随着硅料供应瓶颈消除,组件价格几乎“半价”促销,同样让组件厂压力颇大。多位头部企业高管呼吁,低价组件伤害全行业,预计组件价格在明年将迎来反弹。 全年装机有望实现200GW 临近年末,光伏行业依然能传来振奋消息:据中国光伏行业协会统计,针对今年我国光伏新增装机量的情况,在今年已上调一次装机预期的基础上,二次上调预测数据,预计今年新增装机量为160GW至180GW,集中式和分布式开发并举。全球装机则由305-350GW上调至345-390GW。 事实上,中国光伏行业协会的预测还稍有保守。有关负责人提到,考虑到第一批风光大基地必须在年底前并网,全年集中式光伏新增装机还有提高。另根据行业机构统计,全年装机在直流侧预计达到200GW。 根据光伏行业协会数据,今年前10个月,我国光伏新增装机超过140GW,同比增长145%,属于近10年来最高增速,且多数月份的同比增长都超过了100%,3月份最高超过了400%。 在上游制造方面,各环节均创下新高。数据显示,今年前10个月,国内多晶硅产量约114万吨,硅片产量约460GW,电池产量约404GW,组件产量约367GW,同比增速分别为86%、79%、74%、72%,上述产量规模均已超2022年全年水平。 不过,根据机构统计,2023年硅片、电池片和组件环节产能预计均将超过800GW,远超终端需求预测,由此引发的产能过剩现状,几乎成了各环节企业普遍面临的风险。国金证券在研报中预测,2024年全球光伏需求同比增长30%至490GWac(对应组件安装量约650GW、产量650-…

    2023-12-27
    2.6K
已有 0 条评论